In letzter Zeit häufen sich Fälle, in denen ein Trojaner Daten auf fremden Rechnern verschlüsselt und zur Zahlung von „Lösegeld“ für die Entschlüsselung fordert. Wie Heise Security nun berichtet, droht die Gefahr sich diesen Trojaner einzufangen nicht nur in infizierten Mails, auch auf scheinbar harmlosen Websites lauert die Gefahr und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden.
Nach Angaben von Heise Security sind Experten einer Spezialeinheit Cybercrime des LKA Niedersachsen in unabhängigen Untersuchungen darauf gestossen, dass unter anderem auch Websites mit dem CMS Joomla zur Verbreitung von TeslaCrypt beitragen können.
Hierzu werden alte Joomla-Installationen mit einer Sicherheitslücke ausgenutzt, die eine Verbreitung des Trojaners ermöglicht. Aber auch aktuelle Joomla-Installationen auf neustem Stand können betroffen sein, wenn beispielsweise zum großen Joomla Patch-Day am 14. Dezember 2015 die Seite nicht sofort auf die neuste Version aktualisiert wurde.
In diesem sogenannten Zero-Day-Fenster wurden viele Systeme kompromittiert und eine Hintertür eingebaut, die durch das Einspielen des Udpates nicht geschlossen wurde. Kriminelle können nun auch später noch Schad-Code in das scheinbar sichere System einschleusen.
Nach Angaben auf Heise.de lag der Schad-Code bei den untersuchten Fällen in den Dateien:
/administrator/includes/defines.php /includes/defines.php
und enthielt neben PHP-Code auch Funktionsaufrufe wie
decrypt_url.
Webmastern wird dringend empfohlen, ihre Websites auf einen Befall zu prüfen, wobei die Verbreitung nicht nur über Joomla, sondern auch über andere CMS-Systeme wie WordPress und Drupal erfolgen kann.
Weitere Informationen zum Thema:
http://t3n.de/news/joomla-ransomware-teslacrypt-682672/
Zurück zur Übersicht